Rusya bağlantılı olduğundan şüphelenilen bir tehdit aktörü, Kazakistan’daki diplomatik kuruluşlara yönelik ikna edici hedef odaklı kimlik avı saldırıları gerçekleştiriyor.
En az 2021’den beri aktif olan UAC-0063, ilk olarak 2023’te Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından belgelendi. CERT-UA, bunu orta düzeyde güvenle bağladı. APT28 (diğer adıyla Fancy Bear, Forest Blizzard, Stronsiyum, Sofacy), Genelkurmay Ana İstihbarat Müdürlüğü (GRU) Askeri Birimi 26165’ten. APT28 en iyi bilinen özelliğidir. Batılı hükümetlere yönelik yüksek profilli saldırılar: Demokratik Ulusal Komite (DNC) 2016 hack’iAlmanya, Norveç ve Hollanda’daki parlamento organlarına karşı kampanyalar ve çok daha fazlası.
UAC-0063, özellikle Doğu Avrupa’daki (özellikle Ukrayna) ve ayrıca Kazakistan, Kırgızistan ve Orta Asya’daki devlet kurumlarından, sivil toplum kuruluşlarından (STK’lar), akademik kurumlardan ve enerji ve savunma kuruluşlarından istihbarat toplamak için siber operasyonları kullandı. Tacikistan ve İsrail ve Hindistan dahil çevredeki diğer ülkeler.
Devam eden en son kampanyası, blog yazısıSekoia’dan araştırmacıların geçmişi en az 2022’ye kadar uzanan bu araştırma, Vladimir Putin hükümetinin, son yıllarda diplomatik ufkunu genişletmeye çalışan eski bir Sovyet devleti hakkında stratejik içgörüler elde etmek ve bu devlete karşı avantaj sağlamak için yaptığı daha geniş bir çabaya katılabilir.
Kimlik Avı Kazak Diplomatları
16 Ekim 2024’te, yani yaygın kullanıma sunulmasından bir ay sonra, araştırmacılar, VirusTotal’a yüklenen diplomatik bir belgeyi fark etti. Bu, Almanya Şansölyesi ile Orta Asya ülkelerinin başkanları arasındaki ortak deklarasyonun meşru bir taslağı gibi görünüyordu.
Sekoia Tehdit Algılama ve Araştırma (TDR) Siber Tehdit İstihbaratı (CTI) analisti Amaury Garçon, “Bu belgeyi açtığınızda ilk adım sizden makroları etkinleştirmenizi istemesidir” diye anımsıyor ve belgenin ” İlk bakışta şekiller”. “Bazı kimlik avı belgeleri gerçekten çirkin görünüyor veya şekli kötü [at first] — kullanıcıdan makroları etkinleştirmesini isterler, çünkü makroları etkinleştirmezseniz belgeye metin yazamazsınız, görüntüleri taşıyamazsınız, vb.” diye belirtiyor.
“Etkinleştir” seçeneğine tıklamak, hedef cihazda çeşitli kötü amaçlı, görünmeyen komutları tetikler. Kullanıcıya tam, katkısız yem belgesi verilirken, arka planda güvenlik ayarları, gelecekteki “makroları etkinleştir” komutlarına olan ihtiyacı ortadan kaldıracak şekilde düşürülecekti. Daha sonra ikinci bir boş belge oluşturuldu ve Microsoft Word’ün gizli bir örneği tarafından açıldı. Bu gizli belgeyle ilişkili Visual Basic (VB) kodu – elbette artık varsayılan olarak etkindir – “HatVibe” adlı bir arka kapı içeren kötü amaçlı bir HTML uygulamasını (HTA) düşürdü ve çalıştırdı.
HatVibe’nin amacı uzak bir sunucudan kod almak ve yürütmektir. Sekoia bu kimlik avı kampanyasıyla ilişkili yükleri tespit edemese de CERT-UA daha önce HatVibe’nin “CherrySpy” adlı daha karmaşık bir Python arka kapısını indirdiğini ve çalıştırdığını gözlemledi.
Bu Kazakistan ve Rusya İçin Ne İfade Ediyor?
Araştırmacıların bu kampanyayla ilgili ilk VirusTotal yüklemesini tespit etmesinden altı hafta sonra, 27 Kasım’da Putin, Rusya’nın “gerçek müttefiki” olarak gördüğü Kazakistan’a iki günlük bir resmi ziyarete gitti. Kendisi ve Kazakistan cumhurbaşkanı Kassym-Jomart Tokayev, Kolektif Güvenlik Anlaşması Örgütü (CSTO) zirvesinin sağladığı fırsatı kullanarak, başta enerji sektörü olmak üzere çeşitli ekonomik ortaklık alanlarını tartıştı ve enerji, eğitim ve ulaşım konularında anlaşmalar imzaladı.
Sekoia Dergisi’nin kıdemli CTI analisti Maxime Arquillière, “Orta Asya, Rus nüfuzu açısından gerçek bir ilgi noktasıdır” diye açıklıyor. “Kazakistan’ın yakın bir müttefik olduğunu biliyoruz, ancak Ukrayna savaşının başlangıcından bu yana Kazakistan Rusya’dan biraz uzaklaşarak hem Batılı devletlerle hem de Çin ile yeni bağlantılar geliştirmeye çalışıyor.”
Kazakistan’ın Asya kıtasındaki merkezi konumu, özellikle Ukrayna ve Rusya savaş tarafından tüketilirken, onu Çin ile Avrupa arasında bir ticaret köprüsü olarak güzel bir şekilde konumlandırıyor. Sekoia’nın blogunda belirttiği gibi, ülkenin giderek genişleyen jeopolitik bağları, Moğolistan ve Afganistan’ın yeni Taliban hükümetiyle yapılan son anlaşmalarda ve en önemlisi Ukrayna’daki savaşa ilişkin dengeli duruşunda açıkça görülüyor; doğrudan kınamaksızın Ukrayna’nın toprak bütünlüğü hakkını destekliyor. Rusya’nın işgali.
O halde bu son siber kampanya, Rusya’nın Orta Asya komşusuna ilişkin daha geniş girişimlerine tam olarak uyuyor. Sekoia, Kazakistan ile potansiyel ortak ülkeler arasındaki diplomatik işlerle ilgili, her biri meşru ve büyük ihtimalle Kazakistan Dışişleri Bakanlığı kaynaklı olan 11 yem belgesi tespit etti.
Tehdit aktörünün bu belgeleri tam olarak nasıl elde ettiği bilinmiyor. Örneğin şunları içerirler:
-
Kazakistan’ın Afganistan ve Belçika’daki büyükelçiliklerinden diplomatik ve ekonomik gelişmelere ilişkin mektuplar.
-
Almanya ile Orta Asya ülkeleri arasında 16 Eylül 2024’te Astana’da yapılan zirve sonrasında hazırlanan ortak açıklama taslağı.
-
Kazak cumhurbaşkanının Moğolistan ve New York ziyaretlerine ilişkin idari raporlar ve brifingler.
“Gerçekten tutarlı [need for] Arquillière, Rus istihbaratının bu tür bir siber casusluk yapmasının amacının Kazakistan ile Avrupa devletleri arasındaki stratejik çıkarları bilmek olduğunu söylüyor.